La rapporto affermando che il servizio di condivisione di file peer-to-peer condiviso BitTorrent ha diversi difetti nella sua crittografia di sicurezza è stato pubblicato Domenica scorsa (16novembre) da un gruppo di ricercatori di sicurezza nel forum Hackito sito. La relazione afferma che il torrente potrebbe probabilmente concedere alla società l'accesso alle informazioni dei file condivisi degli utenti.
In un posta delle proprie due giorni dopo, BitTorrent contraddetto queste accuse.
Le accuse
Il problema più grave, i ricercatori dicono però, è la perdita di hash crittografici tra le cartelle degli utenti posta sul server remoto GetSync.com di BitTorrent. Dopo aver reverse engineering del codice del programma, le loro analisi hanno rivelato "perdita probabile di tutti gli hash di getsync.com e l'accesso per BitTorrent Inc a tutti i dati condivisa". L'intero rapporto può essere trovato nel Sito Hackito Ergo Sum.
Un ricercatore da Hackito ha detto che la falla di sicurezza è venuto, di conseguenza, in una modifica della procedura di condivisione delle cartelle, dopo il primo rilascio di sincronizzazione. "Cambio di paradigma di condivisione che ha introdotto questa vulnerabilità è accaduto dopo le prime uscite. Questo può essere il risultato di NSL (National Security Letters, dal governo degli Stati Uniti per le imprese a loro pressioni nel dare le chiavi o l'introduzione di vulnerabilità per compromettere i sistemi in precedenza sicuri) che avrebbe potuto essere ricevuto da BitTorrent Inc. e / o sviluppatori,"Si afferma nella relazione.
La contraddizione
Nella loro contro-post da Martedì, BitTorrent ha detto che il server remoto centrale è lì solo per aiutare gli utenti si collegano ad un'altra. Non prende parte al processo di sincronizzazione crittografato hanno detto però.
'Hash delle cartelle non sono la chiave di cartella (segreto). Essi sono utilizzati per scoprire altri peer con la stessa cartella. Gli hash non possono essere utilizzati per ottenere l'accesso alla cartella; è solo un modo per scoprire gli indirizzi IP dei dispositivi con la stessa cartella. Hash, inoltre, non può essere indovinato; è un 160 numero di bit, il che significa che si tratta di crittografia impossibile indovinare l'hash di una cartella specifica '., afferma il palo.
Il meccanismo di scambio di informazioni tra le cartelle degli utenti di BitTorrent si basa su collegamenti connessione crittografata a GetSync.com, ma includono gli hash e la chiave di crittografia per le cartelle secondo i ricercatori Hackito però.
I link contengono solo le chiavi pubbliche necessarie per macchine per collegare l'uno all'altro e non le chiavi segrete alle cartelle, Stato BitTorrent al contrario.
'Links fanno uso di standard di crittografia a chiave pubblica per permettere diretto e sicuro scambio di chiavi tra coetanei. Il collegamento stesso non può essere utilizzato per decifrare la comunicazione in quanto contiene solo le chiavi pubbliche delle macchine coinvolte nello scambio. Dopo aver stabilito una connessione diretta, (l'utente può verificare confrontando il certificato impronta digitale per entrambi i peer) Sync passerà la chiave di cartella su un canale crittografato per gli altri peer. In aggiunta, la chiave pubblica e l'hash cartella vengono visualizzati dopo il # firmare nell'URL, il che significa che tutti i browser moderni non sarà nemmeno inviare questo al server. Altre caratteristiche sono state implementate per proteggere ulteriormente lo scambio delle chiavi utilizzando i collegamenti, Compreso (1) i link scadono automaticamente entro 3 giorni (impostare come predefinita) e (2) esplicita approvazione è richiesto dal peer invitante prima di qualsiasi scambio di chiavi avviene (anche impostare come predefinito).', si dice nel loro posto.
Prove di BtiTorrent
In aggiunta a queste dichiarazioni BitTorrent ha pubblicato una lettera da una società di sicurezza delle informazioni - ISEC Partners, assunto da loro di controllare la loro attuazione sicurezza all'inizio di quest'anno. Secondo la lettera della revisione riguarda l'attuazione e l'utilizzo di hash crittografici, crittografia e randomizzazione del programma, riconoscimento cartella e lo scambio tra pari, meccanismo di scambio di chiavi e possibili attacchi di hacker di crittografia.
‘BitTorrent Sync applicata generalmente accettato pratiche di crittografia nella progettazione e realizzazione di sincronizzazione 1.4 a partire da luglio 2014,’ la lettera dice.
Nel complesso, possiamo concludere che le informazioni provenienti da entrambi i lati - Hackito e BitTorrent è essere piuttosto controversa. La migliore protezione possibile è quello di diffidare di condivisione di informazioni sensibili attraverso il torrente in questo momento.
